商业银行个人信息泄露问题启示

邓小华 王果

摘要：随着科学技术的发展，商业银行中个人信息的应用场景面临着前所未有的发展机遇，它提升了商业银行的日常经营效率、降低交易成本，提升服务质量，然而，目前我国商业银行存在个人信息保护的立法滞后且不完备，现有的相关法律规定缺乏可操作性，有关个人信息保护的监管职责不明确、处罚缺位，基层分支机构对个人信息保护不够重视等一系列问题，在金融科技迅猛发展的同时，如何保护这些信息安全不受侵犯，维护客户的资金安全，强化对客户个人信息的保护值得我们深思。本文着重以商业银行内部监管角度为切入点，针对目前商业银行在个人信息保护上的现状和问题，提出了几点完善建议。

关键词：个人信息保护;商业银行;内部监管

2020年，脱口秀演员池子与东家公司打官司中发生诡异一幕，中信银行上海虹口支行未获池子本人授权，且未经司法机关合法调查程序的情况下，将其个人名下银行账户交易明细直接提供给上海笑果文化公司。该银行的行为明显侵犯了当事人的个人信息权益，池子随即委托律师向笑果文化以及中信银行上海虹口支行发出律师函，并向银保监会等监管部门进行实名投诉和举报。事情曝光以后中信银行口碑风评一度被推到风口浪尖。商业银行作为客户个人信息的直接接触者，如何在发展的同时保护这些信息安全，值得我们深思。

一、个人信息的定义及概念

截至2020年，我国颁布了一系列有关个人信息保护的法律法规，明确将个人信息定义为以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映自然人活动情况的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、交易信息等。目前，我国对个人信息的保护体现在各部门法律文件中，例如《民法典》、《网络安全法》等。同时，全世界已经有120多个国家制定了有关个人信息保护的相关法律，足以说明其重要性，如欧盟出台《通用数据保护条例》、美国《隐私法案》、日本《个人信息保护法》等。如今社会处于科技高速发展的阶段，信息化程度不断提升，而个人信息保护也上升为全民热点关注问题。党中央一直以来高度重视此问题，以期在个人信息保护和信息化高速发展之间找到平衡点。就在2020年10月21日，我国立法部门就发布《个人信息保护法草案》，征求各方意见建议，立法工作正在有条不紊开展。

二、商业银行对于个人信息保护的重要作用

个人金融信息与经济发展、国家安全息息相关。特别是在向数字金融转型的过程中，个人金融信息保护事关我国数字经济发展壮大。商业银行在日常经营活动中，能够最直接的获取到客户的个人信息，且绝大部分是个人金融信息，事关个人的金融安全。广大群众在与商业银行进行业务往来时往往处于弱势地位，被动接受商业银行的安排，提供详尽的个人信息、填写各项相关表格，银行机构与系统由于独特的技术与专业优势，整合客户的消费、存取等动态信息，早已掌握大部分人的身份、消费习惯、资产状况等与人身有密切联系的信息。此外，商业银行所掌握的个人信息中的金融信息兼具人格利益和财产利益，与普通个人信息相比，其所体现的财产利益也更为明显。一旦发生个人金融信息泄露、银行卡被盗刷等事件，银行又多以已履行告知和妥善保管义务，属于客户保管不善等原因主张免责。由此看来，商业银行作为个人金融信息流通過程中的信息集合地，在个人信息保护问题上显得尤为重要。

三、商业银行在个人信息保护上的现状和问题

1.缺乏系统性规定

目前国家对于商业银行保护个人信息的法律规定呈现碎片化特点，没有一个系统的法律规定加以规范，同时现有的法律法规也有待改进，商业银行缺乏法律引导。比如，商业银行监管规章制度针对电子银行业务、信用卡业务、储蓄存款业务等方面的客户个人信息保护作出个别规定，难以覆盖银行业提供的各类金融业务，无法全面规范客户个人信息采集、保管和销毁的全流程。

2.没有针对相关法律文件作出具体的操作条款

法律对于相关问题的规定时较原则性的，可操作性不强，这需要商业银行的相关部门在法律规定的原则基础之上制定具体的操作流程和具体条款，以保证个人信息保护能够落实在与客户的每一笔业务之中，在每一个环节都给客户切切实实的安全感。

3.商业银行个人信息保护的监管职责待强化，专项处罚措施待明确

商业银行个人信息与人信息相比，具有特殊性，与个人的资产、信用状况等紧密相关，一旦泄露对客户的财产安全将会造成很大威胁，但《商业银行法》和其他相关法律规定对于主管部门的监管职责和处罚措施的规定较少，商业银行内部对于该类行为的规治措施就更少，使得个人信息重要性在银行内部得不到重视，违规行为也得不到相应的惩罚。

四、商业银行针对个人信息保护的改善意见

1.确立银行内部的个人信息保护制度，做到有法可依

业务部门与合规部应该在我国有关保护个人信息的法律法规基础之上，将个人信息保护内容纳入相关规章制度、业务流程及业务规范，施行责任负责制原则，出现问题追本溯源，追究处罚相关责任人，争取在各方面对个人信息做好保护。同时各部门的权限职责要严格厘清，包括但不限于获取金融消费者个人信息时所要通过的各项审批程序，以及金融消费者个人信息发生泄露、损毁、遗失时应当采取何种补救措施等。同时，银行还应当完善内部员工培训管理制度，针对个人信息保护意识方面重点强化。

2.对有关个人信息的格式合同条款进行优化完善

目前商业银行也面临着数字化转型升级，需要通过电话、短信、线上营销等方式进行产品推荐和活动推广，必然会对行内留存客户的个人信息进行应用和处理，合理地使用能够拓宽银行业务的渠道，并且能够增强客户体验，满足客户更多的金融需求。但此商业银行在进行此类营销方式时，应当在客户首次留存信息时就口头提示客户，并与客户书面形式确认。

在开展业务的过程中，为对客户的金融风险进行有效及时的确认，收集个人信息的行为在所难免，但为保障金融消费者个人信息权益不受侵害，应对搜集个人信息的目的、范围和使用方法等事项与利用范围进行明确规定，防止各类打擦边球的行为。

3.商业银行在于第三方进行合作时，应保证个人信息安全

商业银行与第三方开展合作或者将业务进行外包是极其常见的事项。例如，与保险公司、汽车经销商、移动通信运营商等第三方开展营销合作、将各项业务分包给第三方。在合作过程中将客户个人信息披露给合作方时业务开展的需要，对此商业银行要对自己的合作方负责，对自己的披露行为负责，要对合作方的各项资质严格审查，用保密协议等书面形式对第三方的行为加以约束，保障客户的个人信息不被非法利用。

4.做好个人信息数据开发安全工作

商业银行每一项新系统开发上线前，必须做好个人信息收集、处理、传输、储存等安全测试，并在上线后及时跟踪评估，系统不定期升级，排查漏洞和自检风险。对于个人信息发生泄露、毁损等安全事件，及时妥善处理，做好记录，分析原因，及时上报主管部门，制定相应补救措施，防止事态进一步恶化，把风险损失降到最低。

5.内部加强自检自查工作

商业银行应坚持内部自检自查工作常态化、长效化、精细化，深入推进个人信息保护工作取得更大实效。加强对全行各部门机构不定期排查工作，对各部门业务的各个环节进行严格检查，全面落实指定的相关个人信息保护制度，对日常工作中显现的缺陷和漏洞进行填补和补充，对相关文件进行更新改善，逐步完善客户个人信息保护的各项机制落实。

参考文献：

[1]高岩.银行客户信息泄露问题值得关注[J].中国信用卡，2011，（12）：41-44.

[2]刘畅;大数据时代个人信息保护问题研究[D];东北财经大学;2016.